在我客戶的一個子網域中,他遇到了一些(看起來像)隨機用戶由於「複雜性等等」而無法更改其密碼的問題。然而,當出現以下情況時,情況並非如此:
a) 管理者重設為新密碼或
b) 使用者有「必須在登入時重設密碼」標誌
到目前為止我嘗試過的:
GPO:僅包含密碼設定的預設網域原則。設定為:
- 長度為10
- 啟用複雜性
- 歷史記錄設定為 5,但在本例中不相關(嘗試了不同的密碼)
- 其他一切都未定義或 0
PDC 上的密碼提供者:我了解到您可以透過註冊表使用自訂密碼提供者。我用一個一切正常的網域檢查了它。看來是默認了。我唯一看到的就是環境
EveryoneIncludesAnonymous = 0。在我為他創建了一個 PSO 後,用戶仍然無法更改他的密碼,並且配置應該可以工作。似乎它們沒有被應用。
PDC可用
Set-ADAccountPassword在網域控制器上也不起作用。使用者帳戶的安全描述符看起來相當不錯。每個人都有權利更改密碼。
在 ADUC 中,使用者屬性正常。使用者不能更改密碼 = $false 等。
輸出net user /domain Myuser
User name cardm004
Full Name Cardman, Michael
Comment Test User
User's comment
Country/region code 000 (System Default)
Account active Yes
Account expires Never
Password last set 16.01.2017 13:14:58
Password expires Never
Password changeable 15.02.2017 13:14:58
Password required Yes
User may change password Yes
Workstations allowed All
Logon script login.cmd
User profile
Home directory
Last logon 18.01.2017 08:14:01
Logon hours allowed All
Local Group Memberships
Global Group memberships *Domain Users
The command completed successfully.
輸出net accounts
Force user logoff how long after time expires?: Never
Minimum password age (days): 0
Maximum password age (days): 37201
Minimum password length: 10
Length of password history maintained: 5
Lockout threshold: Never
Lockout duration (minutes): 30
Lockout observation window (minutes): 30
Computer role: Workstation
我現在沒有主意了。我可以嘗試什麼來找出用戶無法更改密碼的原因?
更新
我發現,群組原則建模為不同使用者顯示了不同的配置。對於無法變更密碼的用戶,不會顯示「密碼設定」和「帳戶鎖定原則」部分。因此我認為網域控制器上可能存在複製問題。我檢查了複製狀態repadmin /showrepl,結果沒問題。我檢查了所有 3 個網域控制站上 sysvol 中的文件內容,它們是相同的。因此,不知何故,DC 是最新的,但計算機沒有獲得配置。
GPUpdate /force和GPResult /r、 或GPResult /h file.html看起來不錯並且沒有顯示任何錯誤。重啟後GPUpdate /force並沒有改變錯誤。
GPResult /r顯示正確的站點,並顯示快速連接,Default Domain Policy(設定已完成)顯示為已套用。
更新2
我創建了一個額外的 GPO 來設定密碼設定。為此,我建立了一個 OU,將電腦和使用者帳戶移至該 OU 並將該 GPO 連結enforced = $true到該 OU。GPResult /h顯示了正確的應用程式配置,Net user /domain testuser但沒有。本地策略設定與 GPO 相同。
問題仍然出現。
更新3
客戶在微軟開了一張票。他們還沒有解決方案,但發現 GP 似乎有問題:使用者及其裝置被移到一個單獨的 OU 中,以便在禁用繼承的情況下進行測試。他們為其應用了一個新的 GPO,其中包含多個密碼設定。GPResult顯示了更新的設置,但用戶仍然無法更改其密碼。
然後,他們刪除了 GP 連結並再次啟用繼承,測試 GPO 的設定保留在系統上。的設定預設域策略未套用(它們低於測試 GPO 中的值),且使用者仍然無法變更其密碼。
我會及時向您通報最新情況,也許有一天你們會遇到這個問題,或者在微軟之前找到解決方案。
答案1
IIRC 該錯誤是任何密碼變更問題的一般錯誤。
根據您的評論:
然而,當出現以下情況時,情況並非如此:
a) 管理者重設為新密碼或
b) 使用者有「登入時必須重設密碼」標誌
我要說的問題是您的密碼策略有一個Minimum Password Age或Enforce Password History兩個的設定。很可能第一個是這裡的罪魁禍首。
編輯:
根據您的最新更新,您可以看到:
Password changeable 15.02.2017 13:14:58
顯示密碼30天內不可更改。
現在,您聲明您的最短密碼期限設定為 0。
這使我得出兩個可能的結論:
帳戶或 OU 正在阻止策略的繼承...儘管它顯示了帶有「網路帳戶」的正確策略,但特定使用者似乎並未套用它。
有些 DC 會阻止繼承並且無法獲得正確的設定。看這裡:https://community.spiceworks.com/topic/1838052-minimum-password-age-password-changeable
檢查並驗證 GPMC 中沒有進行任何 GPO 封鎖。然後檢查並確保使用者進行身份驗證的 DC、電腦以及使用者帳戶...所有 3 個物件都具有「包括來自該物件父物件的可繼承權限」。
答案2
此命令的輸出net user /domain Myuser目前反映的最短密碼期限為 31 天。看起來你需要修改該使用者的 PSO 並將該物件中最短的密碼期限設為 0。
另外,您是否確認 PSO 已成功應用於使用者或群組?如果是,您應該會看到msDS-ResultantPSO使用者的 AD 帳戶上填入了一個屬性。您可以使用屬性標籤上的 ADUC 或執行下列 PowerShell 命令輕鬆檢查這一點:
Import-Module ActiveDirectory
Get-ADUser cardm004 -Properties msDS-ResultantPSO | FL
附帶說明一下,運行net accounts將返回以下設置本地電腦帳戶。本機帳戶設定與網域帳戶設定分開配置。
答案3
愚蠢的建議,但是您是否已驗證用戶的密碼是否符合要求:
- 密碼不得包含用戶的全部訊息sam 帳號名稱(帳戶名稱)價值或全部顯示名稱(全名)值。兩項檢查都不區分大小寫:
- 這sam 帳號名稱對其進行整體檢查只是為了確定它是否是密碼的一部分。如果sam 帳號名稱長度小於三個字符,則跳過此檢查。
- 這顯示名稱解析分隔符號:逗號、句點、破折號或連字號、底線、空格、井號和製表符。如果找到任何這些分隔符,顯示名稱被分割,所有解析的部分(令牌)都被確認不包含在密碼中。長度小於三個字元的標記將被忽略,並且不會檢查標記的子字串。例如,名稱「Erin M. Hagens」分為三個標記:「Erin」、「M」和「Hagens」。由於第二個標記只有一個字元長,因此會被忽略。因此,該使用者的密碼不能包含「erin」或「hagens」作為密碼中任意位置的子字串。
- 密碼必須包含以下五類中三類的字元:
- 歐洲語言的大寫字元(A通過Z、帶變音符號、希臘語和西里爾字母)
- 歐洲語言的小寫字元(a通過z、升號 s、帶變音符號、希臘語和西里爾字母)
- 基數 10 位數字(0到9)
- 非字母數字字元:~!@#$%^&*_-+=`|\(){}[]:;"',.?/
- 任何被歸類為字母字元但不是大寫或小寫的 Unicode 字元。這包括亞洲語言的 Unicode 字符
根據:https://technet.microsoft.com/en-us/library/cc786468%28v=ws.10%29.aspx
答案4
老實說,這聽起來像是您透過本地 GPO 編輯遇到了輔助產品設定策略。類似 ScriptLogic(又稱 Desktop Authority)。
您在舊電腦上看到的一些症狀是:
- PC 上的 system32 或 C: 根目錄中存在 SLStart 或 wKiX32。
- 如果它以前就在那裡並被刪除,您會看到 PC 上先前安裝的所有程式都不會顯示在新增/刪除程式中。
已經……幾年了。知道最終的解決方案是什麼嗎?